定义
DMARC(Domain-based Message Authentication, Reporting, and Conformance)是一项可扩展的邮件认证机制,让域名所有者得以在 DNS 中发布机器可读的策略,声明当收件邮件服务器面对一封 SPF 或 DKIM 对齐校验未通过的邮件时应采取何种处置,并允许这些服务器将结构化报告回送给域名所有者。DMARC 三种策略取值——none、quarantine、reject——为域名所有者提供了对全球收件基础设施处理”声称来自该域名的未认证邮件”的逐级控制。
DMARC 由 PayPal、Google、Microsoft、Yahoo、ReturnPath 等业内参与方与邮件生态利益相关者共同开发,于 2015 年 3 月作为 IETF RFC 7489 首次发布。规范由 DMARC.org 工作组维护。它在两项早期认证标准 SPF(RFC 7208)与 DKIM(RFC 6376)之上做了扩展与协调,将其作为输入信号来使用,而非取而代之。
工作原理
DMARC 策略以 DNS TXT 记录形式发布在 _dmarc.<域名> 路径下。一条具有代表性的记录形如:v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s。其关键标签如下:
v=DMARC1——版本标识p=——策略:none(仅监控)、quarantine(投递到垃圾箱)或reject(直接丢弃邮件)rua=——汇总报告的接收 URI;从参与的邮箱服务商处接收每日认证结果的 XML 摘要ruf=——取证报告的接收 URI;针对单封失败邮件接收已脱敏的报告pct=——策略生效的邮件比例(用于分阶段铺开)adkim=与aspf=——对齐模式:s(严格,要求域名完全匹配)或r(宽松,允许子域匹配)
DMARC 引入的关键创新是标识对齐。SPF 通过或 DKIM 通过只有在认证域与 RFC5322.From 头部域名(用户实际看到的”From:“地址)相对齐时,才会被视为 DMARC 合规。这堵上了 SPF 与 DKIM 各自独立运作所留下的缝隙:一封邮件可以在另一个域名(信封发件人)上通过 SPF,并以第三方签名域名通过 DKIM,但若 From 头显示的是不同域名,它依然可能是伪造的。DMARC 要求 SPF 或 DKIM 中至少有一项产出对齐的通过结果。
汇总报告(RUA)通常在报告周期结束后 24 小时内,由 Google(Gmail)、Microsoft(Outlook/Exchange Online Protection)、Yahoo Mail、Apple iCloud Mail、Comcast 等邮箱服务商以压缩 XML 文件交付。这些报告包含按来源 IP 计数的邮件量、SPF 结果、DKIM 结果及 DMARC 处置情况。DMARCIAN、Valimail、Postmark DMARC Digests、Google Postmaster Tools 等工具提供解析与可视化这些报告的仪表盘。
您会在哪里遇到它
任何高量级或高利害邮件发送的场景都会遇到 DMARC。自 2024 年 2 月起,Google 与 Yahoo 都要求每日向 Gmail 或 Yahoo Mail 地址发送超过 5000 封邮件的发件方,至少发布 p=none 的 DMARC 记录——这一行业重大政策调整实质上让 DMARC 成为批量发件方的必备项。Microsoft 也于 2025 年宣布对 Outlook.com 个人邮箱提出类似要求。
对于大规模派发邮箱确认投票的竞赛平台而言,DMARC 担当两重角色。其一,它通过指示接收服务器拒收伪造邮件来保护发送域名的信誉——防止第三方在钓鱼活动中冒用该平台的 From 地址,从而损害域名的投递力。其二,DMARC 汇总报告提供了一条运营监控通道:域名所有者可以从所有参与的邮箱服务商处看到,外发邮件中通过 SPF 与 DKIM 的比例如何,并在出现批量确认邮件失败前及时发现基础设施配置问题。
SendGrid、Mailgun、Amazon SES、Postmark、SparkPost 等邮件服务商都发布了与自家发送基础设施配套的 DMARC 配置指南。MXToolbox DMARC Lookup、DMARCIAN 的 DMARC Inspector、EasyDMARC 的记录检查器等 DNS 诊断工具,能让域名所有者验证已发布的策略是否生效。
实际示例
某竞赛公司开始使用新子域 confirm.votes.example.com 发送确认邮件。父域 votes.example.com 的 DMARC 记录已设置为 p=reject。由于该新子域的 SPF 与 DKIM 记录尚未配置,确认邮件因 DMARC 对齐失败而被 Gmail 拒收。管理员通过汇总报告看到该子域 100% DMARC 失败,立即诊断到问题所在,添加相应的 SPF include 与 DKIM 选择器 DNS 记录,并在铺开期间临时将子域 DMARC 策略设为 sp=none。
某品牌举办奖品总额 5 万美元的照片投稿大赛。一名诈骗者尝试用品牌的竞赛域作为 From 地址发送钓鱼邮件,把投票者引向伪造的确认页面以收割邮箱凭证。由于该域名的 DMARC 策略为 p=reject,Gmail、Outlook、Yahoo Mail 一致在投递前丢弃这些诈骗邮件,参赛者与品牌的发件人信誉得以双双保全。
相关概念
DMARC 以 SPF 记录 与 DKIM 作为认证输入——DMARC 通过要求二者至少之一与 From 头部域名对齐。在竞赛运营中,SPF、DKIM 与 DMARC 共同作用决定 邮箱确认投票 的确认邮件能否进入投票者收件箱,是最关键的技术因素。BIMI 标准允许在收件箱客户端展示品牌徽标作为信任标识,其前提条件正是 DMARC 策略需为 p=quarantine 或 p=reject。
